% \documentclass[dvipsnames]{article}
\documentclass[dvipsnames]{ctexart}
\title{行为监控板卡: 市场，理论模型和实现v1.2}
\usepackage{fontspec}
\usepackage{graphicx}
% \usepackage[no-math]{fontspec}
% no-cofig :: do not look for fontspec.cfg in this folder
% silent :: ignore warnings
\input{h}
% \setmainfont{Noto Sans CJK SC}

\crefname{figure}{图}{图}
% ^^^ plural
\Crefname{figure}{图}{图}
% ^^^^^^ type = counter name
\usepackage{pdflscape} %uncomment this  and comment above line to see the difference
\begin{document}
\author{数涧信息有限公司}
\maketitle

\begin{landscape}

  \section*{“服务器行为监控”市场调研}
  目前市场上关于“服务器行为监控”的软件有很多，但是大多数都是监控服务器的性能和资
  源使用情况，而不是监控用户的行为。比如Anturis, LogicMonitor, Datadog, SolarWinds。
  以下是一些市场上的“服务器行为监控”软件：

  \begin{longtblr}[caption = {服务器行为监控},
    label = {tab:a}
    ]%
    {colspec={XXX[-1]XX},
      rowhead = 1, % first row is shown on every page
    }

    \toprule
    \mbox{公司} & \mbox{产品名称} & \mbox{场景} & \mbox{功能简介} & \mbox{技术实现简介}\\
    \midrule

    \raisebox{-.7\height}{
      \includegraphics[height=3em]{s1}}
    &
    域智盾

    \texttt{https://www.yzdsaas.com/} & 公司内部服务器 &
    % \begin{minipage}[t][\arraycolsep][t]{1.0\linewidth}
    {
      \textbullet 上网行为审计 \\
      \textbullet 软件使用管理记录,自动录屏 \\
      \textbullet 文件加密 \\
      \textbullet 网络防火墙 \\
    }
    % \end{minipage}
    &
    在服务器上和路由器上安装管理软件，配合一个中心管理软件
    \\
    \hline
    \raisebox{-.8\height}{\includegraphics[height=6em]{s2}}
    & 安企神

    \texttt{https://www.wgj7.com/} & 公司内部服务器 &
    {
      \textbullet 聊天记录监控（QQ，微信）\\
      \textbullet 软件使用管理记录,自动录屏\\
      \textbullet 文件操作记录管理\\
    }
    &
    在服务器上安装管理软件
    \\

    \hline
    \raisebox{-.8\height}{\includegraphics[height=1.6em]{s3}}
    & 中科安企 终端安全管理软件
    \texttt{https://www.zhongkeanqi.com/} & 公司内部服务器 &
    {
      \textbullet 上网行为管理\\
      \textbullet 聊天记录监控（QQ，微信）\\
      \textbullet 软件使用管理记录,自动录屏\\
      \textbullet 文件操作记录管理\\
    }
    &
    在服务器上安装管理软件\\

    \hline
    \raisebox{-.8\height}{\includesvg[height=1.6em]{s4}}
    & ‌Zabbix（国内定制版）
    \texttt{https://grandage.cn/} & 公司内部服务器/云服务器 &
    {
      \textbullet 功能模块化 \\
      \textbullet 网络监控 \\
      \textbullet 云/服务器资源监控（CPU，RAM） \\
      \textbullet 客流平衡Load balancing \\
    }
    &
    在服务器上安装管理软件\\

    \hline
    \raisebox{-.8\height}{\includegraphics[height=4em]{s5}}
    & ‌奇安信

    \texttt{https://www.qianxin.com/} &
    中大型企业网络资源管理与安全防护‌
    &
    {
      \textbullet 支持服务器、路由器、交换机等多类型设备监控\\
      \textbullet 提供实时流量检测 \\
      \textbullet 性能分析及安全报警功能，具备高度定制化策略‌ \\
    }
    &
    \\

    \hline
    \raisebox{-.8\height}{\includegraphics[height=4em]{s6}}
    & ‌ 深信服

    \texttt{https://www.sangfor.com.cn/} &
    替代VMware的网络虚拟化解决方案‌
    &
    {
      \textbullet DeepSeek+深度AI应用创新 : 为用户打造更匹配DeepSeek等大模型场景的智算承载、应用构建的AI平台， \\
      \textbullet VMware先进替代方案 \\
    }
    &
    \\

    \hline
    \raisebox{-.8\height}{\includegraphics[height=4em]{s7}}
    & ‌ 新华三（H3C）

    \texttt{https://www.sangfor.com.cn/}

    H3C US200系列以太网交换机，
    H3C UAP672H-E面板式802.11ax无线接入设备

    &
    {
      \textbullet 连锁酒店解决方案 \\
      \textbullet 商业门店解决方案\\
    }
    &
    {
      \textbullet 新华三中连锁型酒店解决方案，针对连锁型酒店客房、会议室、大厅、餐厅、走廊等各区域进行无线信号覆盖且信号无感切换，提供全覆盖Wi-Fi网络解决方案。 \\
      \textbullet 在商业门店的网络升级后，将以更高的效率沉淀线下有价值的数据资产并进行有组织的运营，继而为顾客提供更好的消费体验。
      \\
    }
    &
    \\

    \hline
    \raisebox{-.8\height}{\includegraphics[height=4em]{s8}}
    & ‌ 北信源

    \texttt{http://www.vrv.com.cn/} (\emoji{parrot}: 作为一家做安全的公司，竟然
    主页都没用http....而且页面设计也很感人) 信源密信

    &
    {
      \textbullet 信源密信是国家重点工程、国家重点单位优选的保护国家秘密、保护工作秘密、保护 个人隐私的移动办公安全即时通信平台。 \\
      \textbullet 信源密信（信源豆豆）安全即时通信服务器是由北京北信源股份软件有限公司 （股票代码300352）面向高安全诉求群体，专为党政机关及大、中型企事业单位的安全通信需求，自主研发的即时通信+第三方应用相结合的跨终端、安全可信标准化的即时通信服务器。 \\
    }
    &
    {
      信息加密防护·内嵌保护工作秘密的算法;
      安全即时通信  音视频会议  公共信息服务  统一应用平台  开放开发平台
    }
    &
    \\

    \hline
  \raisebox{-.8\height}{\includegraphics[height=3em]{sa.png}}
    & ‌ 绿盟科技

    \texttt{https://www.nsfocus.com.cn/}
    &
    {
      \textbullet 企业安全防御有效性评估与优化。\\
      \textbullet 安全设备防御能力量化与弱点识别。\\
      \textbullet  重点保护区域防御短板定位与加固。 \\
      \textbullet  主流热点威胁防御效果验证与应急响应机制完善。 \\
      \textbullet  复杂攻击场景下的端到端防御体系评估。 \\

    }
    &
    {
      \textbullet  绿盟防御突破模拟评估系统（NSFOCUS BAS）是一款通过高度自动化、高安全性的攻击模拟，以实战化的方式验证、评估并持续优化企业安全防御有效性的产品。 \\
      \textbullet  它能够主动、有针对性地快速提升企业的安全防护能力，在动态威胁态势下持续保障客户全面的安全状态。 \\
    }
    &{
      \textbullet  该产品结合了绿盟科技多年的攻防实践经验和安全应用技术。 \\
      \textbullet  它通过高度自动化的攻击模拟，模拟真实攻击场景，以评估安全设备的防御能力。 \\
      \textbullet  它使用智能攻击剧本编排能力，基于模拟攻击链路和场景编排，通过多个维度安全用例的验证，全面评估当前安全防护能力。 \\
      \textbullet  通过模拟攻击链，可以验证是否可以造成勒索，挖矿等大型事件。 \\
    }
    \\
    \hline
  \raisebox{-.8\height}{\includegraphics[height=3em]{sb}}
    & ‌ 启明星辰
    \texttt{https://www.venustech.com.cn/}
    &
    {
      \textbullet 企业安全防御有效性评估与优化。\\
      \textbullet 安全设备防御能力量化与弱点识别。\\
      \textbullet  重点保护区域防御短板定位与加固。 \\
      \textbullet  主流热点威胁防御效果验证与应急响应机制完善。 \\
      \textbullet  复杂攻击场景下的端到端防御体系评估。 \\

    }
    &
    {
      \textbullet  绿盟防御突破模拟评估系统（NSFOCUS BAS）是一款通过高度自动化、高安全性的攻击模拟，以实战化的方式验证、评估并持续优化企业安全防御有效性的产品。 \\
      \textbullet  它能够主动、有针对性地快速提升企业的安全防护能力，在动态威胁态势下持续保障客户全面的安全状态。 \\
    }
    &{
      \textbullet  该产品结合了绿盟科技多年的攻防实践经验和安全应用技术。 \\
      \textbullet  它通过高度自动化的攻击模拟，模拟真实攻击场景，以评估安全设备的防御能力。 \\
      \textbullet  它使用智能攻击剧本编排能力，基于模拟攻击链路和场景编排，通过多个维度安全用例的验证，全面评估当前安全防护能力。 \\
      \textbullet  通过模拟攻击链，可以验证是否可以造成勒索，挖矿等大型事件。 \\
    }
    \\
    \bottomrule
  \end{longtblr}

\end{landscape}

\section{基于语言模型的服务器用户操作安全监控与审计}
\subsection{简介}
这篇报告学习语言模型在服务器安全管理上的一个应用： \strong{用户操作安全审计}。应
用的逻辑大概如下：有两个模块，操作记录监控模块$P_1$，和AI审计模块$P_2$。 $P_1$会
收集用户的操作记录$A$，并在格式处理后传给$P_2$。$P_2$会根据$A$的内容，为每个操作
进行可疑度评估以及解释。这些新增的信息会添加到$A$上，称为\strong{已审计数据}, 记
作$A^{*}$。
\subsection{行为操作分类与风险等级划分： 理论模型}
这里我们介绍一种基于文件系统操作对行为进行评估的模型。首先在我们的模型中，我们将
用户操作拆分为两个部分：
\begin{align*}
  \text{\cola{用户操作行为}} & = \text{\colb{文件分类}} + \text{\colc{操作分类}} \\
\end{align*}
文件的分类是根据文件的重要性和敏感性来划分的，我们将文件分为三类：
\begin{enumerate}
\item \colb{普通 Trivial} 这些是一些不重要的文件，比如临时文件（\texttt{/tmp/}
  目录下的文件）。值得注意的是，对标准输出（\texttt{STDOUT}）的操作也属于这一类。
\item \colb{中等 Ordinary} 这些是一些相对用户而言比较重要的文件，比如用户的主目录
  下的文件。
\item \colb{特殊 Special}。这些是一些系统级别的文件，比如\texttt{/etc/passwd}。
\end{enumerate}
操作的分类是根据操作的风险性来划分的，我们将操作分为两类：\colc{读}，\colc{写}。
这样我们就可以将用户的操作行为分为六类。我们可以用一个表格来表示这种分类(见\cref{tab:six}):

\begin{table}[h]
  \centering
  \caption{理论行为操作分类表}
  \begin{tblr}{width=0.9\linewidth,
      colspec={X[2]|X|X|X[3]},
      cell{2}{2,3}={green9}, cell{3}{2}={green9}, cell{3}{3}={gray9}, cell{4}{2}={gray9}, cell{4}{3}={red9},
    }
    \hline
    \strong{
      \colb{文件} | \colc{行为}
      分类} &\strong{ \colc{读}} & \strong{\colc{写}} &
    \strong{样例文件} \\
    \hline
    \colb{普通 Trivial} & \texttt{LOW} & \texttt{LOW} & \texttt{/tmp/hi.md, STDOUT} \\
    \colb{中等 Ordinary} & \texttt{LOW} & \texttt{MEDIUM} & \texttt{/home/me/hi.md} \\
    \colb{特殊 Special} & \texttt{MEDIUM} & \texttt{HIGH} & \texttt{/root/hi.md,/etc/passwd} \\
    \hline
  \end{tblr}

  \label{tab:six}
\end{table}

\subsection{行为操作分类与风险等级划分： 语言模型实现}
\subsection{现有可用模型及对应资源占用}

\section*{行为监控板卡v1.2功能简介}



\subsection*{简介}

行为监控板卡是一个用来监控服务器操作的PCIE外接设备。该板卡拥有独立的系统以增强其
隔离性。收集到的操作记录可以被选择性地存证到板卡上的区块链节点上以增强其可靠性。

以下两个章节分别介绍用户操作的两个主要页面

\subsection*{操作记录获取页面}

这个页面展示板卡从宿主机上获取到的操作记录。 操作记录包括了操作的用户
（user）， 操作的时间（time）， 操作的命令（command）, 操作的参数（argv）。这个
页面同样可以让用户通过这些参数来过滤/搜索操作记录。

当记录被存证到区块链上时，这个页面会显示和存证相关的信息，比如存证的时间，存证的
交易哈希等。 \cref{fig:p1}展示了操作记录页面的基本信息。

\begin{figure}[h]
  \centering
  \includegraphics[width=0.8\textwidth]{p1.png}
  \caption{操作记录页面}
  \label{fig:p1}
\end{figure}
\FloatBarrier                   % \usepackage{placeins}
\subsection*{存证链配置页面}

这个页面展示板卡上的存证链的配置信息。 这里用户可以配置板卡连接的区块链节点并制定
存证的策略。比如，用户可以选择自己手动存证，也可以选择设置一个定时任务来自动存
证， 比如每天晚上12点进行一次存证。\cref{fig:p2}展示了存证链配置页面的基本信息。
\begin{figure}[h]
  \centering
  \includegraphics[width=0.8\textwidth]{p2.png}
  \caption{存证链配置页面}
  \label{fig:p2}
\end{figure}
\FloatBarrier                   % \usepackage{placeins}
这个页面同样可以让用户查看板卡上的存证链的基本信息，如当前的区块高度，共识算法，
最新的区块等。是一个简易的区块链浏览器。 \cref{fig:p3}展示了存证链配置页面链相关的基本信息。
\begin{figure}[h]
  \centering
  \includegraphics[width=0.8\textwidth]{p3.png}
  \caption{存证链配置页面: 区块链信息}
  \label{fig:p3}
\end{figure}
\end{document}

% Local Variables:
% TeX-engine: luatex
% TeX-command-extra-options: "-shell-escape"
% TeX-master: "feat.tex"
% TeX-parse-self: t
% TeX-auto-save: t
% End: